Закон 152 фз рф: Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция)

1.1 Каково основное законодательство о защите данных?

Федеральный закон № 152-ФЗ «О персональных данных» от 27 июля 2006 г. (Закон о ПД) является основным законом, регулирующим защиту данных в России. Он был принят в 2005 году после ратификации Конвенции Совета Европы о защите частных лиц в отношении автоматической обработки персональных данных (Страсбургская конвенция).

Закон о ПД основан на международных документах о конфиденциальности и защите данных в определенных аспектах; он имеет концепции, аналогичные концепции, содержащейся в Общем регламенте защиты данных (GDPR) (вступает в силу в ЕС с 25 мая 2018 г.).

1.2 Есть ли какие-либо другие общие законы, влияющие на защиту данных?

В целом Конституция России признает фундаментальное право на неприкосновенность частной жизни каждого отдельного человека (статьи 23 и 24).

В частности, основное национальное законодательство о конфиденциальности и защите данных содержится также в Федеральном законе № 149-ФЗ «Об информации, информационных технологиях и защите данных» (2006 г.) (Закон о защите данных).

Наконец, Страсбургская конвенция, ратифицированная Россией в 2005 году, защищает и обеспечивает защиту данных на международном уровне.

В российском законодательстве о защите данных особое внимание уделяется техническим мерам защиты данных.Многочисленные правовые и технические требования изложены в нормативных актах, издаваемых правительством России и специализированными государственными органами в сфере защиты данных.

1.3 Существует ли какое-либо отраслевое законодательство, влияющее на защиту данных?

Конкретные положения о защите данных можно найти в других законах, включая главу 14 Трудового кодекса Российской Федерации (2001 г.), статью 85.1 Воздушного кодекса Российской Федерации (1997 г.), Федеральный закон № 395-1 «О банках и банковской деятельности» (1990 г.), Федеральный закон №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (2011 г.), Федеральный закон № 38-ФЗ «О рекламе» (2006 г.), Кодекс Российской Федерации об административных правонарушениях (2001 г.) и др.

1.4 Какие органы отвечают за защиту данных?

Основным местным органом регулирования защиты данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций ( Роскомнадзор, ).

К специализированным государственным органам в сфере защиты данных также относятся Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба безопасности (ФСС).

2.

2.1 Просьба представить ключевые определения, используемые в соответствующем законодательстве:

■ « Личные данные »

Персональные данные определяются как любая информация, относящаяся прямо или косвенно к идентифицированному или идентифицируемому физическому лицу (субъекту персональных данных).

■ « Обработка »

Обработка определяется как любое действие (операция) или набор действий (операций) в отношении персональных данных, выполняемых как автоматически, так и вручную, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), анонимность, блокировка, удаление или уничтожение личных данных.

■ «Контроллер »

Российское законодательство не содержит понятия и термина «контролер».В российском Законе о ПД упоминается понятие «оператор данных», которым может быть государственный орган, муниципальный орган, юридическое или физическое лицо, которое организует и / или осуществляет (самостоятельно или совместно с другими лицами) обработку персональных данных и которое также определяет цели обработки персональных данных, содержание персональных данных и действия (операции), связанные с персональными данными.

■ «Процессор »

Российское законодательство не содержит понятия или термина «переработчик»; тем не менее, это относится к концепции «оператора данных», к стороне, которая может действовать (обрабатывать персональные данные) с согласия субъекта данных, с разрешения оператора данных на основании соответствующего соглашения или на основании операции. специального государственного или муниципального закона.

■ « Субъект данных »

Субъект данных определяется как конкретное или идентифицируемое физическое лицо (физическое лицо).

■ « Конфиденциальные личные данные »

Вместо термина «конфиденциальные персональные данные» в Законе о ПД используется термин «особые категории персональных данных», который относится к любой информации, относящейся к расовому или этническому происхождению, национальности, политическим взглядам, религиозным или философским убеждениям, государственным здоровье или сексуальная жизнь.

■ « Data Breach »

Российское законодательство не определяет термин «утечка данных». Однако обработка данных в нарушение принципов и обязательств, предусмотренных Законом о ПД, может быть квалифицирована как нарушение данных.

■ Другие ключевые определения — укажите (например, «Псевдонимные данные», «Прямые персональные данные», «Косвенные персональные данные»)

• «Биометрическая информация о персональных данных» — это отдельный вид информации, относящейся к физиологическим и биологическим характеристикам человека, по которым его можно идентифицировать и которая используется оператором для установления личности субъекта персональных данных (статья 11 Закон о ПД).
• «Трансграничная передача персональных данных» означает любую передачу персональных данных иностранному государству, иностранному государственному агентству и / или иностранному физическому или юридическому лицу.

3.

3.1 Распространяются ли законы о защите данных на предприятия, учрежденные в других юрисдикциях? Если да, то при каких обстоятельствах бизнес, учрежденный в другой юрисдикции, будет подпадать под действие этих законов?

Как указано в п.1 статьи 12 Закона о ПД, трансграничная передача персональных данных на территории иностранных государств, которые являются участниками Совета Страсбургской конвенции, а также других иностранных государств, обеспечивающих надлежащую защиту прав субъектов данных, должна осуществляются в соответствии с Законом о ПД и могут быть запрещены или ограничены в целях защиты основ конституционного строя Российской Федерации, общественной нравственности и здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. . Роскомнадзор утверждает список иностранных государств, не являющихся участниками Совета Страсбургской конвенции и обеспечивающих надлежащую защиту прав субъектов данных.

Оператор должен получить разрешение своих клиентов на передачу их персональных данных третьим лицам и за границу.

Кроме того, согласно п. 5 статьи 18 Закона о ПД, при сборе персональных данных, в том числе через Интернет, оператор (как российский, так и иностранный) должен регистрировать, систематизировать, накапливать, хранить, уточнять (обновлять, изменять) или извлекать персональные данные российских граждане с использованием любых баз данных, находящихся на территории Российской Федерации, за исключением обработки данных в государственных целях или в средствах массовой информации.При этом оператору не нужно удалять аналогичные данные из каких-либо зарубежных баз данных, содержащих данные о гражданах России.

4.

4.1 Каковы основные принципы обработки персональных данных?

■ Прозрачная пленка

Субъект персональных данных решает, предоставлять ли свои персональные данные для обработки.Он имеет право знать цели и методы обработки персональных данных, имя и местонахождение оператора данных, получателей персональных данных, лиц, имеющих доступ к персональным данным, срок обработки и хранения персональных данных. данные и любая другая информация, необходимая для обеспечения прозрачной обработки персональных данных. Таким образом, субъект персональных данных дает согласие оператору данных. Такое согласие на обработку персональных данных должно быть конкретным, информированным и осознанным.Обязанность предоставить доказательства получения согласия субъекта персональных данных возлагается на оператора.

■ Законное основание для обработки

Персональные данные обрабатываются на законной и справедливой основе. В частности, обработка персональных данных должна производиться с согласия субъекта данных (если не применяются определенные юридические исключения), которое предоставляется свободно, по собственной воле субъекта данных и в его собственных интересах; Оператор данных или другое лицо (а), получившее доступ к персональным данным, не должны раскрывать или распространять такие персональные данные третьим лицам без согласия субъекта данных, если иное не предусмотрено законом.

■ Ограничение по назначению

Обработка персональных данных должна быть ограничена достижением целей (целей), которые должны быть конкретными, заранее определенными и законными. Обработка, не соответствующая целям такой обработки, запрещена.

■ Минимизация данных

Объем и содержание обрабатываемых персональных данных должны полностью соответствовать предполагаемым целям такой обработки данных. Обрабатываемые персональные данные не должны быть чрезмерными или не соответствовать заявленным целям обработки данных.

■ Пропорциональность

Обработка персональных данных должна гарантировать, что такие персональные данные являются точными, достаточными, адекватными и актуальными и, при необходимости, обновляются пропорционально целям обработки данных. Оператор данных должен принять все необходимые меры или обеспечить выполнение мер, связанных с удалением или исправлением неполных или неточных личных данных.

■ Удержание

Персональные данные, которые обрабатываются, подлежат уничтожению или обезличиванию по достижении цели обработки данных, а также в случае, если достижение таких целей перестает быть эффективным, актуальным или необходимым, если иное не предусмотрено федеральным законом.

■ Прочие ключевые принципы — укажите

Любая интеграция баз данных, содержащих персональные данные, обрабатываемые в противоречивых целях, не допускается.

5.

5.1 Каковы основные права физических лиц в отношении обработки их личных данных?

■ Право доступа к данным / копиям данных

В соответствии с п.1 статьи 14 Закона о ПД, физическое лицо имеет право доступа к своим данным, обрабатываемым оператором данных, включая информацию, содержащую: (1) подтверждение того, что его / ее персональные данные обрабатываются оператором данных; (2) правовые основания и цели обработки персональных данных; (3) цели и методы, используемые оператором данных для обработки персональных данных; (4) имя и местонахождение оператора данных и информация о лицах, которые имеют доступ к персональным данным или которым персональные данные могут быть раскрыты на основании соглашения с оператором данных или в соответствии с законом; (5) обработанные персональные данные, относящиеся к соответствующему субъекту персональных данных и источнику, из которого они были получены; (6) срок обработки персональных данных, в том числе срок хранения; (7) порядок реализации субъектом персональных данных прав, предусмотренных Законом о ПД; (8) информация о любой фактической или предполагаемой трансграничной передаче персональных данных; (9) имя (фамилия, имя, отчество) и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если применимо; и (10) любую другую информацию, предусмотренную Законом о ПД.

■ Право на исправление ошибок

Субъект персональных данных может потребовать от оператора данных исправить, заблокировать или удалить его / ее персональные данные в случае, если они являются неполными, неактуальными, неточными или незаконно полученными или не нужны для заявленной цели их обработки.

■ Право на удаление / право на забвение

Российский закон устанавливает право на забвение, обеспечивая досудебный механизм, ограничивающий распространение ссылок на веб-сайты, содержащие ложную, устаревшую или распространяемую с нарушением законодательства информацию о физических лицах (п.1 статьи 10.3 Закона о защите данных). Физическое лицо имеет право потребовать, отправив соответствующее приложение, чтобы оператор поисковой системы в Интернете прекратил предоставлять ссылки, позволяющие получить доступ к информации об этом человеке. В то же время этот механизм не ограничивает доступ к самим ресурсам, которые фактически распространяют информацию. Если физическое лицо не удовлетворено результатом досудебного урегулирования, он / она имеет право обратиться в суд с исковым заявлением об ограничении выдачи ссылок на веб-сайты, содержащие информацию о человеке.

■ Право на возражение против обработки

По запросу субъекта данных, в том числе в случаях отзыва субъектом персональных данных своего согласия на обработку персональных данных, оператор данных обязан немедленно прекратить обработку своих персональных данных. За исключением случаев, когда обработка персональных данных не может быть прекращена или может привести к нарушению закона (например, трудового законодательства), оператор данных должен прекратить обработку данных или принять меры для ее прекращения.

■ Право на ограничение обработки

В российском законодательстве нет четкого разграничения между правом на ограничение и правом на возражение, как это предусмотрено в GDPR.

■ Право на переносимость данных

Субъект персональных данных имеет право доступа к своим персональным данным. Информация должна быть предоставлена ​​в доступной форме. Закон не запрещает передачу персональных данных другим операторам.

■ Право на отзыв согласия

В случае отзыва субъектом персональных данных своего согласия на обработку персональных данных оператор данных должен прекратить обработку персональных данных или принять меры к ее прекращению, и, если персональные данные больше не нужны, хранятся для установленных целей их обработки, уничтожить личные данные или организовать их уничтожение в течение периода, не превышающего 30 дней с даты получения отзыва, если иное не предусмотрено контрактом (пункты 5 и 6 статьи 12 Закона о ПД).

■ Право на возражение против маркетинга

Обработка персональных данных для маркетинга / продвижения товаров, работ и услуг непосредственно потенциальным потребителям (по телефону, электронной почте или факсу) допускается только с предварительного согласия субъекта персональных данных. Бремя доказательства того, что согласие субъекта данных было получено должным образом, лежит на операторе данных. Федеральный закон о рекламе также запрещает электронные публикации и массовую рассылку без предварительного согласия адресата.Лицо вправе в любой момент отозвать согласие. По запросу субъекта персональных данных оператор данных должен немедленно прекратить обработку своих персональных данных.

■ Право на подачу жалобы в соответствующие органы по защите данных

Если субъект персональных данных считает, что оператор данных обрабатывает его персональные данные с нарушением законодательства о защите данных или иным образом ущемляющим его права и свободы, субъект персональных данных имеет право подать жалобу на действия или бездействие оператора данных в Роскомнадзор или подать гражданский иск в компетентный суд.Субъект данных может прибегать к различным средствам правовой защиты, включая возмещение убытков, в соответствии с законодательством.

■ Другие ключевые права — укажите

Закон запрещает принимать какие-либо юридически значимые решения в отношении субъекта персональных данных исключительно на основе автоматизированной обработки данных. Исключением из этого правила являются случаи, когда субъект персональных данных дал свое письменное согласие или в случаях, предусмотренных федеральными законами, также устанавливающих меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.Оператор данных обязан разъяснить субъекту персональных данных порядок принятия решения на основе исключительно автоматизированной обработки данных и возможные правовые последствия такого решения.

6.

6.1 Есть ли у предприятий юридическое обязательство регистрироваться или уведомлять орган по защите данных (или любой другой правительственный орган) в отношении своей деятельности по обработке?

Оператор данных должен уведомить Роскомнадзор до начала обработки любых персональных данных, а данные оператора данных должны быть внесены в публичный реестр операторов персональных данных ((Гиперссылка) Уведомление может быть отправлено в электронном или бумажном виде. Уведомление не требуется в определенных случаях: когда обработка осуществляется исключительно в соответствии с трудовым законодательством; если обрабатываются только полные имена субъектов; когда обрабатываются общедоступные или общедоступные персональные данные; или когда обработка персональных данных осуществляется для в целях предоставления субъекту персональных данных разового пропуска в охраняемые помещения.

6.2 Если такая регистрация / уведомление требуется, должна ли она быть конкретной (например, перечислять все действия по обработке, категории данных и т. Д.) Или может быть общей (например, с подробным описанием соответствующих действий по обработке)?

Уведомление Роскомнадзора должно быть конкретным и подписываться уполномоченным лицом заявителя.

6.3 На каком основании производятся регистрации / уведомления (например,g., на юридическое лицо, на цель обработки, на категорию данных, на систему или базу данных)?

Уведомление должно быть сделано для каждой цели обработки.

6.4 Кто должен регистрироваться / уведомлять орган по защите данных (например, местные юридические лица, иностранные юридические лица, подпадающие под действие соответствующего законодательства о защите данных, представительства или филиалы иностранных юридических лиц, подпадающих под действие соответствующего законодательства о защите данных)?

Местные юридические лица, иностранные юридические лица или их представительства, в соответствии с действующим законодательством о защите данных, должны уведомить об этом орган по защите данных.

6.5 Какая информация должна быть включена в регистрацию / уведомление (например, сведения об уведомляющем субъекте, затронутые категории лиц, затронутые категории личных данных, цели обработки)?

В уведомлении Роскомнадзор необходимо указать: наименование и адрес оператора данных; имя и контактные данные ответственного за защиту данных; цель обработки персональных данных; категории данных, подлежащих обработке; категории предполагаемых субъектов данных, данные которых обрабатываются; источник данных; перерабатывающая деятельность; правовая основа обработки персональных данных; перечень действий, выполняемых в связи с обработкой персональных данных, и описание способов обработки персональных данных; описание ИТ-систем и мер безопасности; дата начала обработки данных; срок обработки или условие прекращения обработки персональных данных; местонахождение персональных баз данных; и намерение передать данные за границу.

6.6 Каковы санкции за отсутствие регистрации / уведомления в случае необходимости?

Кодекс Российской Федерации об административных правонарушениях предусматривает ответственность за непредоставление или несвоевременное представление в Роскомнадзора уведомления о деятельности по обработке данных (статья 19.7) со штрафом от 3000 до 5000 рублей для юридических лиц и от 300 до 500 рублей для их должностных лиц. .

6.7 Какова плата за регистрацию / уведомление (если применимо)?

Нет платы за регистрацию или уведомление.

6.8 Как часто необходимо обновлять регистрации / уведомления (если применимо)?

Нет обязанности регулярно обновлять информацию; однако оператор данных должен уведомить Роскомнадзор о любых изменениях информации, представленной в реестр, в течение 10 рабочих дней с даты возникновения таких изменений.

6.9 Требуется ли предварительное одобрение регулирующего органа по защите данных?

Для выполнения операций по обработке данных не требуется предварительного разрешения регулирующего органа по защите данных.

6.10 Можно ли заполнить регистрацию / уведомление онлайн?

Уведомление можно заполнить в режиме онлайн на официальном сайте Роскомнадзора .

6.11 Есть ли общедоступный список выполненных регистраций / уведомлений?

Реестр операторов находится в открытом доступе на официальном сайте Роскомнадзора .

6.12 Сколько времени занимает типичный процесс регистрации / уведомления?

Роскомнадзор в течение 30 дней с даты подачи уведомления вносит данные заявителя в реестр операторов.

7.

7.1 Является ли назначение сотрудника по защите данных обязательным или необязательным? Если назначение сотрудника по защите данных является обязательным только при определенных обстоятельствах, укажите эти обстоятельства.

Согласно российскому законодательству оператор данных, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных (ст. 22.1 Закона о ПД), который в смысле выполняемой функции является сотрудником по защите данных.

7.2 Каковы санкции за неспособность назначить сотрудника по защите данных, когда это необходимо?

Нет никаких конкретных санкций за отказ назначить сотрудника по защите данных. В то же время Роскомнадзор имеет право проводить проверки применения операторами Закона о ПД. В случае нарушения закона Роскомнадзор имеет право издавать обязательные постановления для устранения нарушения, а также может применять соответствующие штрафы.

7.3 Защищен ли сотрудник по защите данных от дисциплинарных мер или других последствий при приеме на работу в связи с его или ее ролью в качестве сотрудника по защите данных?

Сотрудник по защите данных не исключен и не защищен от дисциплинарных мер или других последствий при приеме на работу в отношении его / ее функций в качестве сотрудника по защите данных.

7.4 Может ли компания назначить одного сотрудника по защите данных для охвата нескольких организаций?

Да; один сотрудник по защите данных может быть назначен для охвата нескольких организаций.

7.5 Опишите, пожалуйста, любую конкретную квалификацию сотрудника по защите данных, требуемую законом.

Российское законодательство не устанавливает каких-либо конкретных требований к сотруднику по защите данных. Однако сотрудник по защите данных должен хорошо разбираться в законодательстве о защите данных.

7.6 Каковы обязанности сотрудника по защите данных в соответствии с требованиями закона или передовой практики?

Сотрудник по защите данных обязан, в частности, осуществлять внутренний контроль за соблюдением оператором данных и его сотрудниками законодательства о защите данных, информировать сотрудников оператора данных о соответствующих положениях законодательства о защите данных, подзаконные акты, местные правила или акты по обработке персональных данных и любые требования по защите данных, а также для организации приема и обработки запросов субъектов данных или их представителей и для осуществления необходимого контроля над их обработкой.Другие функции и обязанности могут быть предусмотрены внутренними корпоративными или корпоративными правилами или актами оператора данных.

7.7 Должно ли быть зарегистрировано / уведомлено о назначении сотрудника по защите данных в соответствующий орган (а) по защите данных?

Должностное лицо по защите данных должно быть указано в уведомлении Роскомнадзора и внесено в реестр операторов данных.

7.8 Должен ли сотрудник по защите данных быть указан в общедоступном уведомлении о конфиденциальности или аналогичном документе?

Нет, в этом нет необходимости, за исключением требования, которое должно быть указано в уведомлении Роскомнадзор .

8.

8.1. Если компания назначает обработчика для обработки персональных данных от своего имени, должна ли компания заключать какие-либо соглашения с этим обработчиком?

Оператор данных имеет право поручить обработку персональных данных другому лицу, которое может выполнять обработку персональных данных от имени и в соответствии с инструкциями оператора данных (третьих лиц, действующих по указанию оператора данных).Оператор данных и третье лицо, действующее по поручению оператора данных для выполнения обработки персональных данных, заключают договор об этом.

8.2 Если необходимо заключить соглашение, каковы формальности этого соглашения (например, в письменной форме, с подписью и т. Д.) И какие вопросы оно должно решать (например, обработка личных данных только в соответствии с соответствующими инструкциями, обеспечение безопасности личных данных и т. д.)?

Договор заключается в письменной форме и подписывается уполномоченными лицами сторон.В таком соглашении должен быть изложен список действий, которые необходимо выполнить при обработке персональных данных лицом, осуществляющим обработку, и цели обработки. Он также устанавливает обязанность лица, осуществляющего обработку данных, соблюдать принципы безопасности и конфиденциальности персональных данных, а также ответственность за их несоблюдение.

9.

9.1 Опишите любые законодательные ограничения на отправку электронного прямого маркетинга (например, для маркетинга по электронной почте или SMS, требуется ли предварительное согласие получателя на подписку?).

Обработка персональных данных с целью маркетинга / продвижения товаров, работ и услуг непосредственно с потенциальным потребителем (отправка по телефону, электронной почте или SMS) без предварительного согласия субъекта персональных данных или адресата рекламы, является несанкционированным и, следовательно, не разрешенным.Бремя доказательства того, что предварительное согласие субъекта персональных данных или адресата было получено должным образом, лежит на операторе данных. Согласие субъекта данных или адресата также может быть отозвано, и в этом случае оператор данных или распространитель рекламы должны немедленно прекратить любые маркетинговые коммуникации, чтобы избежать нарушения.

9.2 Применимы ли эти ограничения только к маркетингу «бизнес-потребитель» или они также применяются в контексте «бизнес-бизнес»?

Ограничения Закона о ПД распространяются только на маркетинг «бизнес-потребитель».Ограничения Федерального закона о рекламе (массовая рассылка) могут применяться также к маркетингу / продвижению между предприятиями.

9.3 Опишите любые законодательные ограничения на отправку маркетинговых материалов другими способами (например, для маркетинга по телефону необходимо заранее проверить национальный реестр отказа; для маркетинга по почте нет требований о согласии или отказе от рассылки. , так далее.).

Любое распространение рекламы через сети электронной связи, включая телефонную, факсимильную и мобильную телефонную связь, допустимо только в том случае, если адресат дал свое согласие на получение такой рекламы.Распространитель рекламы должен немедленно прекратить распространение рекламы лицу, обратившемуся с просьбой об этом. Запрещается торговать с использованием автоматического дозвона или автоматической рассылки (статья 18 Федерального закона «О рекламе»).

9.4 Распространяются ли указанные выше ограничения на маркетинговые материалы, отправленные из других юрисдикций?

Вышеупомянутое правило является общим и применяется без исключений к иностранным организациям.

9.5 Активны ли соответствующие органы по защите данных в обеспечении нарушений маркетинговых ограничений?

Федеральная антимонопольная служба — уполномоченный федеральный орган исполнительной власти, осуществляющий функции в отношении рекламы. В соответствии с Законом о защите прав потребителей (1992 г.) Федеральная служба по защите прав потребителей и благополучия человека (также известная как « Роспотребнадзор, ») также должна защищать потребителей от намеренно навязываемых услуг, отправляемых в электронном виде.

9.6 Законно ли покупать маркетинговые списки у третьих лиц? Если да, то есть ли какие-либо рекомендации по использованию таких списков?

Как правило, физические лица должны дать предварительное письменное согласие на внесение своего имени и других данных в маркетинговый список покупок или потребовать их удаления. Бремя доказательства того, что предварительное согласие адресата рекламы было получено должным образом, лежит на юридическом или физическом лице, которое приобрело маркетинговые списки, содержащие персональные данные, у третьих лиц.

9.7 Каковы максимальные штрафы за отправку маркетинговых сообщений в нарушение действующих ограничений?

Штраф за электронный маркетинг / продвижение товаров, работ или услуг с нарушением соответствующего законодательства о защите прав потребителей, в частности, без предварительного согласия адресата, может привести к административному штрафу до 500000 рублей для юридических лиц и до 20 000 рублей для своих должностных лиц (ст. 14.3 КоАП).

10.

10.1 Опишите любые законодательные ограничения на использование файлов cookie (или аналогичных технологий).

Российское законодательство не содержит определения файлов cookie или каких-либо конкретных положений в отношении файлов cookie. Нет официальных инструкций от Роскомнадзора или другого государственного органа по использованию или распространению файлов cookie, за исключением краткой ссылки в Профессиональных стандартах Министерства труда для ИТ-специалистов относительно объема знаний и использования файлов cookie.Если файлы cookie или аналогичные технологии используются оператором данных для аутентификации пользователя, хранения его / ее учетной записи, личных предпочтений и настроек или отслеживания статуса сеанса доступа клиента в маркетинговых целях, все эти виды использования могут быть квалифицированы как обработка персональных данных для целей маркетинга / продвижения товаров, работ или услуг, для чего требуется предварительное согласие клиента (статья 15 Закона о ПД).

10.2 Различают ли применяемые ограничения (если есть) разные типы файлов cookie? Если да, то каковы соответствующие факторы?

Нет ограничений, которые различают разные типы файлов cookie; релевантным фактором является возможность идентификации пользователя.

10.3 Были ли / приняты ли на сегодняшний день соответствующими органами по защите данных какие-либо принудительные меры в отношении файлов cookie?

В настоящее время развивается практика, когда Роскомнадзор возбуждает исполнительные действия в российских судах, в том числе в отношении файлов cookie.

10.4 Каковы максимальные штрафы за нарушение действующих ограничений файлов cookie?

Поскольку файлы cookie считаются маркетинговыми коммуникациями, любое нарушение соответствующих правил защиты данных и рекламы или телекоммуникаций влечет за собой административные санкции, применимые к нарушениям личных данных.

11.

11.1 Опишите любые ограничения на передачу персональных данных в другие юрисдикции.

Закон о ПД предусматривает требование о локальном хранилище, которое применяется к любому оператору данных, который обрабатывает персональные данные российских граждан, независимо от его юрисдикции, включая его деловую активность в Интернете.Таким образом, при сборе персональных данных, в том числе через Интернет, оператор должен записывать, систематизировать, накапливать, хранить, уточнять (обновлять, изменять) или извлекать персональные данные граждан Российской Федерации с использованием любых баз данных, физически расположенных на территории Российской Федерации. , за исключением: обработки данных для достижения целей международных договоров или выполнения установленных законом полномочий и обязанностей оператора; для государственных нужд; за профессиональную деятельность журналистов или законную деятельность СМИ; или научная, литературная или другая творческая деятельность, которая может осуществляться непосредственно в зарубежных базах данных (статья 18 (5) Закона о ПД).

В случае трансграничной передачи персональных данных оператор данных перед такой передачей должен обеспечить полную защиту прав и интересов соответствующего субъекта данных «надлежащим образом» в соответствующем зарубежном государстве (ст. 12 Закона о ПД). Все страны, подписавшие Страсбургскую конвенцию, считаются юрисдикциями, обеспечивающими «адекватную защиту» прав и интересов субъектов данных. Кроме того, Роскомнадзор утвердил официальный список стран, не подписавших Страсбургскую конвенцию, но обеспечивающих «адекватную защиту» для целей трансграничной передачи персональных данных.Международная передача данных в любую юрисдикцию с уровнем «адекватной защиты» не подлежит никаким ограничениям при условии, что оператором данных было получено предварительное согласие соответствующего субъекта данных. Кроме того, Закон о ПД устанавливает особые требования к трансграничной передаче персональных данных в страны, которые не обеспечивают уровень «адекватной защиты».

11.2 Опишите механизмы, которые предприятия обычно используют для передачи личных данных за границу в соответствии с применимыми ограничениями на передачу (например,g., согласие субъекта данных, выполнение договора с субъектом данных, утвержденные договорные положения, соблюдение юридических обязательств и т. д.).

На практике перед передачей персональных данных за границу оператор данных должен сначала проверить уровень защиты данных в соответствующей иностранной юрисдикции. Кроме того, для передачи персональных данных в другие юрисдикции требуется предварительное письменное согласие соответствующих субъектов данных. Оператор данных может также заключить с субъектом персональных данных договор о международной передаче данных.

11.3 Требуется ли для передачи персональных данных в другие юрисдикции регистрации / уведомления или предварительного разрешения соответствующих органов по защите данных? Пожалуйста, опишите, какие типы переводов требуют одобрения или уведомления, что включают в себя эти шаги и сколько времени они обычно занимают.

Трансграничная передача персональных данных не требует регистрации или предварительного согласования со стороны Роскомнадзора . При этом уведомление Роскомнадзора для целей регистрации статуса оператора данных должно содержать информацию о том, произойдет ли трансграничная передача персональных данных в процессе их обработки.

11.4 Какие указания (если таковые имеются) изданы / имеют органы по защите данных после решения Суда ЕС по делу Schrems II (Дело C ‑ 311/18)?

Российские органы по защите данных не выпускают таких указаний.

11.5 Какие указания (если таковые имеются) имеют / изданы органами по защите данных в отношении пересмотренных Стандартных договорных положений Европейской комиссии?

Российские органы по защите данных не выпускают таких указаний.

12.

12.1 Каков допустимый объем корпоративных горячих линий для информаторов (например, ограничения по типам вопросов, о которых можно сообщать, лицам, которые могут подавать отчет, лицам, которых может касаться сообщение, и т. Д.)?

Российское законодательство не содержит каких-либо конкретных положений о горячих линиях для информаторов.Кроме того, Роскомнадзор не имеет обязательных указаний по этому поводу. Применяются общие требования законодательства о персональных данных. В соответствии с внутренними корпоративными правилами или политикой работодателя как оператора данных, сотрудников также могут обязать «доносить до свистка».

12.2 Запрещено ли анонимное сообщение, категорически не рекомендуется или вообще разрешено? Если это запрещено или не рекомендуется, как предприятия обычно решают эту проблему?

Анонимное сообщение не запрещено или строго не рекомендуется в соответствии с действующим законодательством.Обычно операторы данных решают эту проблему в своих внутренних корпоративных правилах или политиках.

13.

13.1 Требуется ли для использования CCTV отдельная регистрация / уведомление или предварительное одобрение соответствующих органов по защите данных и / или любая конкретная форма публичного уведомления (например,г., знак повышенной видимости)?

CCTV не требует отдельного уведомления / регистрации или предварительного разрешения от Роскомнадзора . При определенных обстоятельствах незаконный оборот или использование специальных технических средств, предназначенных для тайного получения информации, может стать основанием для привлечения к уголовной ответственности (ст. 138.1 УК РФ). Однако такое специальное техническое оборудование не включает элементы с функциями аудио-, видео- или фото- и / или геолокации для бытовых целей, которые имеют элементы управления, индикации и / или любые отметки, открыто указывающие на их назначение, функцию и / или режим работы.

13.2 Существуют ли ограничения на цели использования данных видеонаблюдения?

Конституция России гарантирует право на неприкосновенность частной жизни, а также на личную и семейную тайну. Таким образом, следует оценивать, было ли нарушено это право в каждом конкретном случае.

14.

14.1 Какие виды мониторинга сотрудников разрешены (если они есть) и при каких обстоятельствах?

На практике различные типы мониторинга сотрудников могут быть разрешены внутренними корпоративными правилами и политиками работодателей, включая видеонаблюдение, просмотр электронной почты / Интернета, мониторинг социальных сетей и прослушивание звука, а также иногда GPS-слежение. Однако при любом таком мониторинге работодатель (оператор данных) должен соблюдать конституционные права граждан и требования защиты данных (п.1 статьи 24 Конституции РФ). Работодатель может применять любой вид мониторинга сотрудников при условии, что это предусмотрено трудовым договором или регулируется внутренними корпоративными правилами или политиками, сотрудники знакомы с ними до подачи заявления и сотрудники дали свое согласие на такое наблюдение. Любой мониторинг сотрудников должен применяться разумно, и следует избегать любого раскрытия видеоконтента третьим лицам.

14.2 Требуется ли согласие или уведомление? Опишите, как работодатели обычно получают согласие или отправляют уведомление.

Для проведения законного мониторинга сотрудников требуется предварительное письменное согласие сотрудника. На практике письменное согласие всех сотрудников получается во время заключения трудового договора или является частью коллективного трудового договора. Все сотрудники должны быть должным образом ознакомлены с внутренними корпоративными правилами и политиками в отношении мер контроля сотрудников. Также должны соблюдаться законодательные положения, касающиеся обработки личных данных сотрудников.В частности, такая обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, обеспечения личной безопасности сотрудников, оказания помощи сотрудникам в трудоустройстве, контроля количества и качества выполняемой работы и обеспечения безопасности. имущества и др. (статья 86 ТК РФ). Для этих конкретных целей дополнительное согласие не требуется. Письменное согласие работника требуется и должно быть получено работодателем заранее, если личные данные должны быть переданы работодателем третьим лицам.

14.3 В какой степени производственные советы / профсоюзы / представители работников должны быть уведомлены или проконсультированы?

Нет особых требований, согласно которым производственные советы / профсоюзы / представители работников должны быть уведомлены или проконсультированы по этому поводу.

15.

15.1 Есть ли общее обязательство по обеспечению безопасности личных данных? Если да, то какие объекты отвечают за обеспечение безопасности данных (например, контроллеры, процессоры и т. Д.)?

Оператор данных или иное лицо (лица), получившие доступ к персональным данным, обязаны воздерживаться от их раскрытия третьим лицам или распространения этих персональных данных без предварительного письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами. .

15.2 Существует ли требование закона сообщать об утечках данных в соответствующие органы по защите данных? Если да, опишите, о каких деталях необходимо сообщить, кому и в какие сроки. Если требования закона отсутствуют, опишите, при каких обстоятельствах соответствующие органы по защите данных ожидают добровольного сообщения о нарушениях.

Как правило, закон не требует сообщать органу по защите данных об утечках данных. Роскомнадзор рассматривает добровольно предъявленные субъектом персональных данных претензии в отношении совместимости содержания персональных данных, наличия или отсутствия согласия субъекта персональных данных, способов обработки персональных данных и его соответствия заявленным целям, для которых они обрабатываются. Роскомнадзор принимает соответствующее решение, и при обнаружении нарушения оператор данных должен прекратить такую ​​несанкционированную обработку в течение трех рабочих дней. Если невозможно превратить несанкционированную обработку персональных данных в законный способ обработки, оператор данных должен уничтожить такие персональные данные в течение 10 рабочих дней (статья 21 (3) Закона о ПД). Оператор данных должен уведомить субъекта данных или его представителя о прекращении обработки или уничтожения персональных данных, и в случае, если запрос на прекращение или уничтожение был сделан Роскомнадзором , такое уведомление должно быть отправлено в Роскомнадзор .

15.3 Существует ли требование закона сообщать о нарушениях данных затронутым субъектам данных? Если да, опишите, о каких деталях необходимо сообщить, кому и в какие сроки. Если требования закона отсутствуют, опишите, при каких обстоятельствах соответствующие органы по защите данных ожидают добровольного сообщения о нарушениях.

Нет специального юридического требования сообщать об утечке данных затронутым субъектам данных. В то же время субъект персональных данных, права которого были нарушены, имеет право подать иск в Роскомнадзор , который может провести соответствующую проверку и принять решение в отношении предполагаемого нарушителя и его несанкционированных действий с персональными данными.

15.4 Каковы максимальные штрафы за нарушение безопасности данных?

Оператор данных может нести ответственность за несколько нарушений обработки персональных данных, в том числе за обработку данных без письменного согласия субъекта данных, когда это необходимо, отказ от публикации политики обработки данных на веб-сайте или непредоставление информации субъекту данных. в связи с обработкой его персональных данных — со штрафом за правонарушение до 75000 рублей (ст. 13.11 (2) Кодекса Российской Федерации об административных правонарушениях).

Оператор данных может быть подвергнут штрафу в размере до 6 000 000 рублей за первое правонарушение и до 18 000 000 рублей за повторное нарушение требований к локальному хранению данных (статья 13.11 (8 и 9) Российского законодательства). Кодекс об административных правонарушениях).

Наконец, Уголовный кодекс России предусматривает уголовную ответственность за: незаконный сбор или распространение, в том числе публичное распространение, личных данных, относящихся к личной или семейной тайне, без согласия этого лица, со штрафом до 200 000 рублей; и незаконный доступ к компьютерной информации, повлекший за собой уничтожение, блокирование, изменение или копирование персональных данных, с наложением штрафа до 500 000 рублей.Следует отметить, что по российскому законодательству уголовные наказания могут быть применены только к физическим лицам, но не к юридическим лицам.

16.

16.1 Опишите правоприменительные полномочия органов по защите данных.

1. Следственные полномочия : Роскомнадзор имеет следующие следственные полномочия: запрашивать и получать необходимую информацию для осуществления своих полномочий и получать такую ​​информацию бесплатно; проверять информацию, содержащуюся в уведомлении об обработке персональных данных, и вносить эту информацию в реестр операторов данных; проводить соответствующие проверки; и направлять материалы в органы прокуратуры и другие правоохранительные органы.
2. Корректирующие полномочия : Роскомнадзор имеет следующие корректирующие полномочия: требовать исправления, блокирования или уничтожения ложных или незаконно полученных личных данных; ограничение доступа к данным, которые обрабатываются с нарушением законодательства о защите данных; и приостановка или прекращение обработки персональных данных, которая была инициирована в нарушение законодательства о защите данных.
3. Полномочия по авторизации и консультированию : Роскомнадзор не имеет специальных полномочий по авторизации, за исключением внесения оператора данных в реестр операторов персональных данных, что является правовым основанием для реализации права на обработку персональных данных, хотя он может направить заявку в орган, лицензирующий деятельность оператора (например, в Федеральную службу по техническому и экспортному контролю, Федеральную службу безопасности и другие государственные органы), для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в порядке, установленном применимого законодательства, если одним из условий лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без письменного согласия субъекта персональных данных.При выполнении своих консультативных полномочий Роскомнадзор может выдавать пояснительные письма или подзаконные акты в пределах своей компетенции, а также вносить в Правительство Российской Федерации предложения по совершенствованию правового регулирования защиты прав на данные. предметы.
4. Наложение административных штрафов за нарушение указанных положений GDPR : Роскомнадзор имеет право принимать административные меры в отношении лиц, виновных в нарушении Закона о ПД, в частности, путем наложения административных штрафов за нарушение прав или нарушение прав субъекта персональных данных других соответствующих законодательных положений.
5. Несоблюдение требований органа по защите данных : В случае несоблюдения решений или обязательных постановлений Роскомнадзора Роскомнадзор может подать гражданские иски в компетентные суды для защиты прав субъектов данных и представление интересов субъектов данных в суде или отправка материалов в прокуратуру и другие правоохранительные органы для возбуждения уголовных дел за нарушение данных.

16.2 Имеет ли орган по защите данных право наложить запрет на конкретную обработку данных? Если да, то требует ли такой запрет постановления суда?

Роскомнадзор имеет право потребовать от оператора данных прекратить конкретное нарушение или нарушение, включая конкретную обработку, например блокировку его веб-сайта или определенных страниц в Интернете. Требуется решение суда для принятия таких мер.

16.3 Опишите подход органа по защите данных к осуществлению этих полномочий с примерами недавних дел.

В случае любого нарушения Роскомнадзор сначала отправляет предупреждение с соответствующими предписаниями о мерах, которые необходимо предпринять для пресечения такого нарушения. Прецедентное право в России в этом отношении все еще формируется. Например, в 2020 году российский суд оштрафовал Twitter и Facebook на сумму по 4 миллиона рублей каждый за отказ разместить на своей территории серверы, на которых хранятся данные о гражданах России.Есть также множество завершенных или невыясненных случаев, связанных с Telegram Messenger; в частности, использование Telegram-ботов для сбора персональных данных граждан России.

16.4 Исполняет ли орган по защите данных свои полномочия в отношении предприятий, учрежденных в других юрисдикциях? Если да, то как это обеспечивается?

Роскомнадзор может заблокировать доступ к информации, обрабатываемой с нарушением законодательства о персональных данных; Например, в 2016 году LinkedIn был заблокирован из-за невыполнения требования о локализации персональных данных.

17.

17.1 Как предприятия обычно отвечают на запросы о раскрытии информации из-за рубежа или запросы о раскрытии информации от иностранных правоохранительных органов?

Российское законодательство не содержит никаких положений, касающихся иностранного электронного раскрытия информации или иностранной процедуры раскрытия информации.Таким образом, российские компании не обязаны отвечать на запросы о раскрытии или раскрытии информации за рубежом, за исключением случаев, когда отсутствуют императивные положения, предусмотренные соответствующими международными договорами о взаимной правовой поддержке (помощи) или аналогичными международными соглашениями, участником которых является Россия. Кроме того, существует практика, когда компании отвечают на запросы иностранных правоохранительных органов о раскрытии информации через компетентные российские органы.

17.2 Какие инструкции выпустили / выпустили органы по защите данных?

Таких указаний Роскомнадзор не выдавал. .

18.

18.1 Какие тенденции в области правоприменения проявились за последние 12 месяцев? Опишите любую соответствующую судебную практику.

Конфиденциальность и защита данных остается новой и актуальной областью развития законодательства в России.Наблюдается заметная тенденция к увеличению штрафов за нарушения защиты данных, чтобы привести их в соответствие с иностранным законодательством.

18.2 Какие «горячие темы» сейчас находятся в центре внимания регулятора защиты данных?

В связи с недавней разработкой законодательства, иностранным интернет-сайтам, веб-страницам, информационным системам и программам, ориентированным на российских пользователей, может потребоваться открытие местных офисов в соответствии с законопроектом, рассматриваемым в российском парламенте.В ближайшем будущем Роскомнадзор может предъявить новые требования к отдельным хостинг-провайдерам, организаторам распространения информации или операторам рекламных систем. Также существуют различные инициативы по внедрению и реализации концепции «больших данных» и установлению прав пользователей при использовании их личных данных таким образом.

Российская Федерация — Трудовой кодекс Российской Федерации от 30 декабря 2001 г. с изменениями и дополнениями.

Мощность — ФСТЭК России

В соответствии с Положением о Федеральной службе по техническому и экспортному контролю России (ФСТЭК), утвержденным Указом Президента Российской Федерации от 16 августа 2004 г.1085 Федеральная служба по техническому и экспортному контролю (далее — ФСТЭК России) образует федеральный орган исполнительной власти, реализующий национальную политику, организующий межведомственную координацию и взаимодействие, а также выполняющий специальные и контрольные функции в сфере государственной безопасности по следующим вопросам: :

1) информационная безопасность (с применением некриптографических методов) в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на национальную безопасность в информационной сфере, в том числе функционирующих в рамках информационных систем и телекоммуникационных сетей на критически важных российских объектах, что может привести к материальным негативным последствиям. если на него оказывает деструктивное влияние какая-либо информация;

2) меры противодействия иностранной технической разведке на территории Российской Федерации;

3) защита (с применением некриптографических методов) конфиденциальной информации, составляющей государственную тайну, любых других данных ограниченного доступа, предотвращение утечки ее технического канала, несанкционированного доступа, специальных эффектов / воздействий на информацию (носитель информации) по причинам получения, уничтожение, искажение и блокирование доступа к такой информации на территории Российской Федерации;

4) защита информации при разработке, изготовлении, эксплуатации и утилизации неинформативных излучающих комплексов, систем и устройств;

5) экспортный контроль.

Перечень нормативных правовых актов, определяющих полномочия ФСТЭК России:

1. Положение о Федеральной службе по техническому и экспортному контролю России (ФСТЭК), утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю».

2. Закон Российской Федерации от 21 июля 1993 г. №5485-1 «О государственных секретах».

3. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации».

4. Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных».

5. Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

6. Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».

7. Федеральный закон от 18 июля 1999 г. № 183-ФЗ «Об экспортном контроле».

8. Федеральный закон от 27 июня 2011 г.161-ФЗ «О национальной платежной системе».

9. Указ Президента Российской Федерации от 6 октября 2004 г. №1286 «Вопросы Межведомственной комиссии по защите государственной тайны».

10. Указ Президента Российской Федерации от 29 января 2001 г. № 96 «О Комитете экспортного контроля Российской Федерации».

11. Постановление Правительства Российской Федерации от 29 августа 2001 г. №633 «О порядке размещения и использования зарубежных средств технического наблюдения и контроля на территории Российской Федерации, на континентальном шельфе и на территории Российской Федерации». исключительная экономическая зона Российской Федерации ».

12. Постановление Правительства Российской Федерации от 2 июня 2007 г. №339 «Об утверждении Положения о проведении международных выставок образцов продукции оборонного назначения на территории Российской Федерации и участии российских организаций в таких выставках на территориях». иностранных государств ».

13. Постановление Правительства Российской Федерации от 1 декабря 2007 г. № 831 «Об утверждении Положения о формировании перечня продукции оборонного назначения, поставляемой иностранным заказчикам, и об утверждении Положения о формировании перечня государств-членов. разрешена поставка продукции оборонного назначения, указанной в перечне продукции оборонного назначения, поставляемой иностранным клиентам ».

14. Постановление Правительства Российской Федерации от 20 августа 2009 г. № 689 «Об утверждении Положения об аккредитации граждан и организаций, привлекаемых органами государственного контроля (надзора) и муниципального контроля для реализации контрольных мероприятий».

15. Постановление Правительства Российской Федерации от 20 февраля 1995 г. № 170 «Об установлении порядка рассекречивания и продления сроков засекречивания архивных документов Правительства СССР».

16. Постановление Совета Министров — Правительства Российской Федерации от 11 октября 1993 г. № 1030 «О контроле за исполнением гарантийных обязательств по использованию импортируемых и экспортируемых товаров (услуг) двойного назначения в заявленных целях».

17. Постановление Правительства Российской Федерации от 16 апреля 2001 г. № 296 «Об утверждении Постановления о контроле за внешнеэкономической деятельностью в отношении средств, материалов и технологий, которые могут быть использованы при создании ракетного оружия».

18. Постановление Правительства Российской Федерации от 7 июня 2001 г. № 447 «Об утверждении Постановления о контроле за внешнеэкономической деятельностью в отношении товаров и технологий двойного назначения, которые могут быть использованы при создании вооружения и военной техники». ».

19. Постановление Правительства Российской Федерации от 14 июня 2001 г. № 462 «Об утверждении Постановления о контроле за внешнеэкономической деятельностью в отношении установок и материалов двойного назначения, а также соответствующих технологий, используемых в ядерных целях».

20. Постановление Правительства Российской Федерации от 29 августа 2001 г. № 634 «Об утверждении Постановления о контроле за внешнеэкономической деятельностью в отношении микроорганизмов, токсинов, средств и технологий».

21. Постановление Правительства Российской Федерации от 24 сентября 2001 г. № 686 «Об утверждении Постановления о контроле за внешнеэкономической деятельностью, связанной с химическими веществами, объектами и технологиями, которые могут быть использованы при создании химического оружия».

22. Постановление Правительства Российской Федерации от 15 декабря 2000 г. № 973 «Об экспорте и импорте ядерных материалов, установок, специальных неядерных материалов и соответствующих технологий».

23. Постановление Правительства Российской Федерации от 29 февраля 2000 г. №176 «Об утверждении Постановления о государственной аккредитации организаций, создавших корпоративные программы экспортного контроля».

24. Постановление Правительства Российской Федерации от 16 апреля 2001 г.294 «Об утверждении Положения о проведении государственной экспертизы внешнеэкономических операций с товарами, данными, работами, услугами и результатами интеллектуальной деятельности (прав на такие результаты), в отношении которых осуществляется экспортный контроль».

25. Постановление Правительства Российской Федерации от 21 июня 2001 г. № 477 «О системе независимой экспертизы для идентификации товаров и технологий в целях экспортного контроля».

26. Постановление Правительства Российской Федерации от 15 августа 2005 г.517 «О порядке получения разрешения Комитета экспортного контроля Российской Федерации на осуществление внешнеэкономических операций с товарами, данными, работами, результатами интеллектуальной деятельности (права на такие результаты), которые могут быть использованы иностранными государствами или иностранными физическими лицами для целей цель создания оружия массового уничтожения и средств его доставки, других видов оружия и военной техники либо приобретенных от имени организаций или лиц, участвующих в террористической деятельности ».

27. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 691 «Об утверждении Постановления о лицензировании внешнеэкономических операций с товарами, данными, работами, услугами и результатами интеллектуальной деятельности (прав на такие результаты)». какой осуществляется экспортный контроль ».

28. Постановление Правительства Российской Федерации от 15 апреля 1995 г. № 333 «О лицензировании деятельности юридических лиц, учреждений и организаций на выполнение работ, связанных с использованием сведений, составляющих государственную тайну, путем создания защиты информации. инструменты, а также путем реализации мероприятий и (или) оказания услуг по защите государственной тайны ».

29. Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации».

30. Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации».

31. Постановление Правительства Российской Федерации от 26 июня 1995 г. №608 «О сертификации средств защиты информации».

32. Приказ ФСТЭК России от 30 апреля 2010 г. № 242 «Об организации работ по аккредитации подведомственных ФСТЭК России организаций в качестве коллегии, осуществляющей контрольную деятельность».

Приказ ФСТЭК России от 3 марта 2011 г. № 116 «Об утверждении форм заявлений о продлении срока действия и переоформлении свидетельств об аккредитации организаций, осуществляющих контрольную деятельность ФСТЭК».

Никлан / fz152: Модуль к 152 ФЗ в РФ.

Этот репозиторий заархивирован владельцем. Теперь он доступен только для чтения.

Файлы

Тип

Имя

Последнее сообщение фиксации

Время фиксации

FZ152

Этот модуль поможет вам обойти 152-й Федеральный закон в Российской Федерации.

Он предоставляет простые инструменты и API для добавления страницы политики конфиденциальности на сайт и добавляет флажок «Я согласен обрабатывать мои личные данные» в любой форме, которую вы хотите.

Для чего создан этот модуль :

Установка

Просто скачайте и установите как другие модули Drupal. Затем перейдите на страницу со списком модулей и включите ее.

Характеристики

• Добавьте флажок в любую форму с подтверждением личной информации.
• Все настраивается и переводимо.
• Вы можете отключить эту функцию для разных языков или даже настроить этот модуль для работы на разных языках по-разному.
• Простой пользовательский интерфейс для обработки всех форм на сайте. Не требует программирования, вы можете делать почти все в пользовательском интерфейсе.
• Поддержка подстановочных знаков в идентификаторах формы.
• Вы можете управлять весом флажка в формах (кроме веб-форм, из-за их архитектуры).
• Этот модуль добавляет страницу / privacy-policy по умолчанию с единым юридическим соглашением, которое может соответствовать любому сайту с любыми целями.Большое спасибо компании RaDon за предоставление этого юридического соглашения!
• Вы можете редактировать этот текст через пользовательский интерфейс в предпочтительном текстовом формате.
• Вы можете редактировать путь для этой страницы, даже устанавливать разные пути для разных языков.
• Вы можете отключить эту страницу и использовать свою.
• Предоставьте несколько хуков, см. fz152.api.php . Они помогут вам расширить модуль или что-то изменить, если хотите!

Скриншоты

Около

Модуль к 152 ФЗ в РФ.

ресурсов

Новые правила обработки персональных данных

С 1 марта 2021 г.519-ФЗ от 30.12.2020 «О внесении изменений в Федеральный закон« О персональных данных »*» (далее — «Закон») вступил в силу.

Термин «общедоступные персональные данные» заменен на «персональные данные, разрешенные субъектом данных для распространения». Это информация, к которой имеет доступ неограниченное количество лиц. Как правило, он публикуется в социальных сетях или различных банках данных. Теперь, чтобы обрабатывать такую ​​информацию и предоставлять ее широкому кругу людей, необходимо получить согласие субъекта данных.Он оформляется отдельным документом, а требования к его содержанию устанавливает Роскомнадзор, который также разрабатывает информационную систему для получения согласия в электронном виде. Система заработает с 1 июля 2021 года. Правила ее работы будут установлены в постановлении Роскомнадзора, которое сейчас проходит общественное обсуждение.

В течение 3 рабочих дней с момента получения соответствующего согласия оператор должен опубликовать информацию об условиях обработки и запретах, которые третьи лица должны учитывать при обработке данных.

Новые правила коснутся владельцев сайтов, социальных сетей и других интернет-ресурсов, а также тех, кто использует информацию из этих источников. Цель изменений — исключить неконтролируемое использование персональных данных пользователями Интернет-ресурсов, чтобы гарантировать соблюдение прав граждан на неприкосновенность частной жизни.

Кроме того, 27 марта 2021 года вступает в силу Федеральный закон от 24 февраля 2021 года № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который ужесточит ответственность за нарушения в сфере персональные данные и увеличить срок давности привлечения к ответственности до 1 года (в настоящее время — 3 месяца).

Таким образом, штрафы за обработку персональных данных без согласия их субъекта, непринятие политики по

Fortress Russia — Закон о локализации данных в России

21 июля 2014 г. в России принят Федеральный закон № 242-ФЗ «О внесении изменений в некоторые законодательные акты Российской Федерации по уточнению порядка обработки персональных данных в информационно-телекоммуникационных сетях» («Федеральный закон № 242 -ФЗ »), который вносит ряд изменений в действующее российское законодательство о защите данных.В частности, он вносит изменения в Федеральный закон № 152-ФЗ «О персональных данных», устанавливая требование локализации обработки персональных данных.

Дата вступления в силу

Важность Федерального закона № 242-ФЗ придает ему дату вступления в силу. Изначально планировалось, что он вступит в силу 1 сентября 2016 года. Однако 31 декабря 2014 года вступил в силу Федеральный закон № 526-ФЗ, который изменил дату вступления в силу Закона о локализации данных в России на 1 сентября 2015 года.

Регулируемая деятельность

Согласно новому закону, «операторы персональных данных» обязаны обрабатывать и хранить персональные данные российских граждан с использованием баз данных, расположенных в России (т.д., «локализация» данных). Оператор персональных данных — это юридическое или физическое лицо, которое организует или выполняет обработку персональных данных и определяет цели и объем такой обработки. Определение персональных данных в Федеральном законе № 242-ФЗ аналогично определению, принятому в различных европейских законах о защите данных (т.е. любая информация, прямо или косвенно относящаяся к любому идентифицированному или потенциально идентифицируемому лицу, включая имя, дату и место рождения. , адрес и т. д.).В то время как закон в широком смысле определяет обработку как любое действие или комбинацию действий, выполняемых с персональными данными или с ними, требование локализации наиболее важно относится к записи, систематизации, накоплению, хранению, подтверждению (обновлению, редактированию) и извлечению персональных данных, выполняемых в соответствии с с частью 1 статьи 6 Федерального закона № 152-ФЗ, за исключением обработки, перечисленной в частях 2, 3, 4 и 8 части 1 статьи 6. Закон также требует от операторов данных уведомлять Роскомнадзор, ) расположения серверов, на которых будут обрабатываться российские персональные данные до начала обработки.

Сфера действия Регламента

Параметры требования к новой локализации данных не совсем ясны. Роскомнадзор не дал толкование применимости законодательства к иностранным операторам данных (включая иностранные веб-сайты, обрабатывающие персональные данные граждан России). Традиционно российское законодательство о защите данных применялось только к российским операторам данных и иностранным операторам данных, имеющим юридическое присутствие в России (, например, тех, у кого есть дочерние компании, представительства и т. Д.), которые обрабатывают персональные данные в России. Если такое же определение будет принято в отношении этого законодательства, операторы данных, не имеющие законного присутствия в России, будут исключены из требования локализации.

Действующие требования

Неясно, запрещает ли закон обработку персональных данных российских граждан с использованием баз данных, расположенных за пределами России , в дополнение к обработке в пределах России (например, в целях резервного копирования или дублированного хранения) .Однако преобладает мнение, что даже если иностранная компания не имеет легального присутствия в России, но предоставляет онлайн-услуги, доступные российским гражданам, она все равно может подпадать под действие поправок.

Аналогичный подход присутствует в российском законодательстве о защите прав потребителей. Статья 1212 (1) Гражданского кодекса Российской Федерации предусматривает, что в ситуации, когда компания осуществляет деятельность в стране проживания потребителя или каким-либо образом переносит свою деятельность на территорию этой страны (например,g., предусматривает онлайн-услуги, доступные для граждан России), обязательные правила страны проживания потребителя будут применяться к договору между такой компанией и гражданином России независимо от применимого права к договору. Такая позиция и ее более широкое толкование в целом соответствуют предлагаемым целям поправок, то есть защищать личные данные граждан России во всем мире.

Глава Роскомнадзора обозначил эту позицию в интервью, отметив, что сам факт того, что Роскомнадзор сможет заблокировать доступ к определенному сайту иностранной компании, позволяет сделать вывод о том, что составители поправок не собирались ограничивать их объем. только иностранным компаниям, обрабатывающим персональные данные граждан России, филиалы и представительства которых находятся в России.Вероятно, что Роскомнадзор дополнительно разъяснит свою позицию, когда опубликует свою политику по обеспечению соблюдения закона, чтобы предоставить операторам данных рекомендации по соблюдению, что ожидается весной 2015 года.

Тем не менее, подразумевается, что операторы персональных данных, в том числе иностранные компании с легальным присутствием в России, будут обязаны либо создавать в России объекты обработки и хранения данных, либо арендовать такие объекты у российских поставщиков. Будет важно начать деятельность по сегрегационной обработке внутри организации или предоставление мощностей по переработке и хранению в России в 2015 году.

Ожидаются дополнительные разъяснения

Законодательство в настоящее время не предусматривает конкретных штрафов, но будет применяться общая административная ответственность за нарушение российского законодательства о персональных данных.